我知道大多数人会对此皱眉,但在我了解PDO语句和转义字符串之前,我不确定我应该如何阻止mysql注入。
我创建了一个函数,它接受文本并通过过滤器运行它。我想知道它是否真的会阻止sql注入或者它们是否可以绕过它?我当时的目标是允许用户输入文本并能够在输入文本时完全显示。
除此之外,我还要小心确保用户对数据库的权限不再需要。我是否正在使用他们的输入更新或插入新行等。但鉴于我没有它会继续工作吗?:
function filterInput($textToFilter)
{
if ($textToFilter != null)
{
//a = a
//e = e
//i = i
//o = o
//u = u
//A = A
//E = E
//I = I
//O = O
//U = U
$textToFilter = str_ireplace('insert','insert',$textToFilter);
$textToFilter = str_ireplace('select','select',$textToFilter);
$textToFilter = str_ireplace('values','values',$textToFilter);
$textToFilter = str_ireplace('where','where',$textToFilter);
$textToFilter = str_ireplace('order','order',$textToFilter);
$textToFilter = str_ireplace('into','into',$textToFilter);
$textToFilter = str_ireplace('drop','drop',$textToFilter);
$textToFilter = str_ireplace('delete','delete',$textToFilter);
$textToFilter = str_ireplace('update','update',$textToFilter);
$textToFilter = str_ireplace('set','set',$textToFilter);
$textToFilter = str_ireplace('flush','flush',$textToFilter);
$textToFilter = str_ireplace("'","'",$textToFilter);
$textToFilter = str_ireplace('"',""",$textToFilter);
$textToFilter = str_ireplace(';',";",$textToFilter);
$textToFilter = str_ireplace('>',"›",$textToFilter);
$textToFilter = str_ireplace('<',"‹",$textToFilter);
$textToFilter = nl2br($textToFilter);
$filterInputOutput = $textToFilter;
return $filterInputOutput;
}
}
答案 0 :(得分:5)
由于您正在尝试推出自己的“过滤器”功能 - 标准响应是“是的,您是”。编写“安全”代码是非常困难的,而且你基本上都在尝试重新发明轮子,并且这样做的方式很糟糕。
为什么你能做到这一点(无意义的)麻烦呢?
$safe_text = mysql_real_escape_string($badtext);
(或者您的数据库库提供的任何转义函数)并让数据库为您完成所有艰苦的工作?
答案 1 :(得分:2)
这种事情最好留给专家。不要试图自己动手。您应立即将此功能修补为更安全:
function filterInput($textToFilter)
{
return mysql_real_escape_string($textToFilter);
}
稍后,您可以删除对filterInput的所有引用,并将其替换为mysql_real_escape_string。接下来的步骤是完全停止使用mysql_query,因为它非常危险。切换到mysqli或PDO可以带来显着的好处,特别是因为您可以使用SQL占位符为您进行转义,避免可能导致您付出沉重代价的简单错误。
答案 2 :(得分:1)
肯定是“是”,因为str_ireplace编码不安全(参见infos)。
还有“是”,因为你忘记了“截断”,“授予”,“创建”等等。
最好的方法是忘记它并转移到prepared statements。